ふたばフォレスト

ギガジン好きだね

これはうっかり

>これはうっかり
見つかっちゃった？

やっぱ中国だな

>>これはうっかり
>見つかっちゃった？
バレちゃったてへ

うっかりなら仕方ない

盗聴

偶然でしょ

ネットに繋がるKVMの時点でアウトやろがい

なんでKVMにLANポートが必要なんだ

別に驚かない

>偶然でしょ

中国産はこうでなくっちゃ

ハードウェア固定の秘密鍵で裏口閉じてる素敵ハード

マイクが搭載されててお得！

物理的にインターネットに繋がってないLAN内で使うならまあ…

こういうことを調べて公表してくれる人や組織がとてもありがたい
日本も公的機関として作ってもらいたい

>物理的にインターネットに繋がってないLAN内で使うならまあ…
中国産スマホあるやんけ踏んだろ

>日本も公的機関として作ってもらいたい
国と繋がっちゃ不味いでしょ国民監視し放題じゃん
だからJPCERTは独立してるんだし

>やっぱ中国だな
バックドアなんてこんな具合にシロウトにもバレるようなシロモンなのに
ファーウェイのスマホにはバックドアが仕込まれてる！
って騒いでた人はいまだに証拠上がってないことにどう思ってるの？

>バックドアなんてこんな具合にシロウトにもバレるようなシロモンなのに
>ファーウェイのスマホにはバックドアが仕込まれてる！
>って騒いでた人はいまだに証拠上がってないことにどう思ってるの？
中国だもんなぁ

>国と繋がっちゃ不味いでしょ国民監視し放題じゃん
>だからJPCERTは独立してるんだし
輸入品だけ税関で抜き取り検査すればいいだけだろ

>バックドアなんてこんな具合にシロウトにもバレるようなシロモンなのに
このサイズの製品だからだろ…

>バックドアなんてこんな具合にシロウトにもバレるようなシロモンなのに
>ファーウェイのスマホにはバックドアが仕込まれてる！
>って騒いでた人はいまだに証拠上がってないことにどう思ってるの？
EVバスにすらバックドア有るのにスマホに無いわきゃねーだろ

この手のを暴いてくれる人は正義のヒーローだ
ぜひどんどん暴露してもらいたい

制御用に使ってる汎用マイコンボードに標準でマイクが搭載されてるってだけの話
確かにNanoKVMの仕様にマイクは記載されてないけどマイコンボードがLicheeRV Nanoってのは書いてあってLicheeRV Nanoの仕様にはマイクが搭載されてることは書いてある

ふたばにも中国共産党員の書き込み多くなってて怖い

かなり前からいるぞ五毛君が
ルータスレでTP-Link勧めてきたりでマジ空気読めないの

>EVバスにすらバックドア有るのにスマホに無いわきゃねーだろ
で、証拠は？ｗ

バックドアっつーより制作者なんだから
ファームウェアのアップデートで悪意あるプログラム仕込むのが可能てことでは？

ROM焼く時にSSH殺しとけばいいのにそのまま出荷したということは

>中国だもんなぁ
偽携帯に電気ケトルアイロンにも在ったよねWi-Fi通して接続しスパム攻撃するの

>ROM焼く時にSSH殺しとけばいいのにそのまま出荷したということは
メンテどうするの

>ROM焼く時にSSH殺しとけばいいのにそのまま出荷したということは
そもそもSipeedは電子工作趣味向けの基板やガジェット売ってる会社なんで買った人が好きにいじることを想定してると思う

>メンテどうするの
KVMがなんなのか分かってないの？

中華ルンバはやりたい放題やってるな

>NanoKVMのユーザーインターフェースにはCSRF対策がなく、セッションを無効化する手段もないなど、問題は多かったとのこと。さらに深刻なのは、ブラウザ経由のログイン時におけるパスワード保護に使用される暗号化キーがハードコードされており、全デバイスで同一である点でした。これは重大なセキュリティ上の見落としであり、攻撃者がパスワードを容易に復号できるようになります。
セキュリティの概念自体が無さそうやな

>セキュリティの概念自体が無さそうやな
この製品に関しては単純にこれよね
仕込むならもっと巧妙にやるでしょ

>バックドアっつーより制作者なんだから
>ファームウェアのアップデートで悪意あるプログラム仕込むのが可能てことでは？
それ言い出したら購入したときはまともな企業だったのに
ある日中国企業に買収されてバックドア入りファーム仕込まれる可能性だってあるわけで

情報流出を狙ったというより趣味の素人工作をそのまま売り物にしちゃった感じ

>特殊なバージョンのWireGuard VPNアプリケーションが組み込まれている点、
趣味向けじゃなく悪さするために作った基盤だな

要するに汎用品でちょいちょいと作った便利グッズが穴だらけだったんだけど
中国とセキュリティとカメラで発狂ですわ

>情報流出を狙ったというより趣味の素人工作をそのまま売り物にしちゃった感じ
普通に盗聴目的に決まってんだろ
何言ってんだ？

>普通に盗聴目的に決まってんだろ
>何言ってんだ？
音声データをどこかしらにアップしてりゃ速攻バレるのに盗聴目的…？

>音声データをどこかしらにアップしてりゃ速攻バレるのに盗聴目的…？
アップしなければセーフ理論やめろ

>>情報流出を狙ったというより趣味の素人工作をそのまま売り物にしちゃった感じ
>普通に盗聴目的に決まってんだろ
メーカにその気がなくても確実に狙われるよね……

>普通に盗聴目的に決まってんだろ
>何言ってんだ？
そのつもりならもうちょっとバレ難いようにやるだろ
汎用マイコン基板のマイクそのままって隠す気すら無い

そもそもKVMならほかにもっと心配すべきことがあるだろうに
盗聴盗聴ってバカかよｗ

共産党員怖い

これPCの電源操作もできるIPKVMなんだってな…

>そもそもKVMならほかにもっと心配すべきことがあるだろうに
>盗聴盗聴ってバカかよｗ
つまりPC機器では中国製は買わない方が良いってこと？

>つまりPC機器では中国製は買わない方が良いってこと？
ならどこの買えばいいんだよ

>ｗ

>>つまりPC機器では中国製は買わない方が良いってこと？
>ならどこの買えばいいんだよ
中華製以外

>制御用に使ってる汎用マイコンボードに標準でマイクが搭載されてるってだけの話
>確かにNanoKVMの仕様にマイクは記載されてないけどマイコンボードがLicheeRV Nanoってのは書いてあってLicheeRV Nanoの仕様にはマイクが搭載されてることは書いてある
……それ用の端子があります(未搭載)じゃなくて実物くっついてるのに記載してないのは普通にダメでは？

なぜ嘘をつくのか

>それ言い出したら購入したときはまともな企業だったのに
>ある日中国企業に買収されてバックドア入りファーム仕込まれる可能性だってあるわけで
レノボ「そんなことある訳ないだろ」
モトローラ「そうだそうだ」

>……それ用の端子があります(未搭載)じゃなくて実物くっついてるのに記載してないのは普通にダメでは？
製品として駄目なのは事実なんで擁護する気はないよ
ただ逆に隠す素振りすら無いんで意図的に情報抜く目的で付けたって言うよりはセキュリティを考えてない素人設計ってだけ
いずれにせよ自力でファーム書き換えるとか電子工作の素材として買うんじゃなきゃ勧められるものではないね

>>……それ用の端子があります(未搭載)じゃなくて実物くっついてるのに記載してないのは普通にダメでは？
>製品として駄目なのは事実なんで擁護する気はないよ
>ただ逆に隠す素振りすら無いんで意図的に情報抜く目的で付けたって言うよりはセキュリティを考えてない素人設計ってだけ
>いずれにせよ自力でファーム書き換えるとか電子工作の素材として買うんじゃなきゃ勧められるものではないね
つまり中国製は買うなってことか

SSHで通信するとかオマンコレベルだなぁ
そんなんバレるにきまってんじゃねぇか
チャイナはレイヤーが上の技術がまるでダメやな

ドスパラの上海市場で売ってたWebカメラのドライバにマルウェアが入ってたの思い出すわ

>つまり中国製は買うなってことか
製品個別の情報を理解できない人はその認識でいたほうが安全

>>つまり中国製は買うなってことか
>製品個別の情報を理解できない人はその認識でいたほうが安全
やっぱ中華製は危険なんだな

>製品個別の情報を理解できない人はその認識でいたほうが安全
キミの言う言い訳で言い逃れが出来る前提で悪用するケースは普通にありうるから
買わない方が安全だね

チャイナ様はLinuxベースの奴を機器に載せてたりするんだが
まー情けないくらいの奴なんだな

リスク回避ってそういうもんだしね
そんな素人設計が飛び出すようなところのものは避けた方が安全
他に選択肢がないわけじゃないし

としにゃんが持ってるチャイナ機材にもポートスキャンして開いてる所にSSHで繋げようとしたら入れるかもよぉ

意図的なバックドアじゃなくてもガバで脆弱性持ったまま出荷される可能性もあるし
言い訳にもならねえ

欧州で中華バスに設計にない遠隔でバスの機能停止できるの見つかってたな

Androidセットトップボックスには結構仕掛けられてる

>やっぱ中華製は危険なんだな
いんや
アメさんでもイギリスさんでもイタリアさんでも
もちろん日本製でもリスクは付きまとう
それを精査するギークが必要なのだ

>>やっぱ中華製は危険なんだな
>いんや
>アメさんでもイギリスさんでもイタリアさんでも
>もちろん日本製でもリスクは付きまとう
>それを精査するギークが必要なのだ
なるほど中華製は避けようって事か

そりゃどこ製でもリスクはゼロにはならないけど1かゼロの話してんじゃないんすよ
リスクの高低の話をしてんすよ

https://gigazine.net/news/20251106-smart-vacuum-remote-kill-command/
いやもうなんというかね

made.in.USAでもチップを作ってるのはチャイナという事があるのでな
どういう通信を行ってるかはスニファリングして精査しないと駄目にゃん

>made.in.USAでもチップを作ってるのはチャイナという事があるのでな
>どういう通信を行ってるかはスニファリングして精査しないと駄目にゃん
設計とか品質管理とかの実権を握ってるのがどこかってのが大きいと思う
製造はもはや中国抜きでは無理でしょ

>made.in.USAでもチップを作ってるのはチャイナという事があるのでな
>どういう通信を行ってるかはスニファリングして精査しないと駄目にゃん
つまり中国製は製造過程からも徹底的に除去すべきと言う事だな

「中国で作る」と「中国が作る」は全然違うぞ
後者は絶対に避けた方がいいけど
前者は日本やアメリカの西側諸国のメーカーが設計とか品質管理やってるならまぁ大体大丈夫よ
そもそも工業製品でmade in chinaを避けるのは現状ほぼ不可能だ
時間をかけてすべての産業で脱中国を進めていくしかない

>キミの言う言い訳で言い逃れが出来る前提で悪用するケースは普通にありうるから
>買わない方が安全だね
仮に「ポカミスです」って言って本当にそうだとしても「でも悪用出来るならするでしょ…？」って思われてるわけだしね
ある意味信頼されてる

いくら言葉こねくり回して中国に好印象なワード盛り込もうと
中国がやってる現実がそれを許さないから諦めてクソして寝ろｗ

見つかっちゃいましたねぇ😔

>いくら言葉こねくり回して中国に好印象なワード盛り込もうと
>中国がやってる現実がそれを許さないから諦めてクソして寝ろｗ
中国人は悪人なのかバカなのかで揉めてるだけで好印象なワードなんてどこにも無い気が

つまり二次裏するならPCからってこった

チャイナさまは北も南も東も西も敵だらけなのだな
戦争するしか切れるカードがなくなってる感がある
戦争しないとどうなるか？貧民に共産党が襲撃されてジエンドですな

>>EVバスにすらバックドア有るのにスマホに無いわきゃねーだろ
>で、証拠は？ｗ
、
w

遠隔操作で爆発もできそう
イスラエルが暗殺に使ってたみたいに

ｷﾀ━━━(ﾟ∀ﾟ)━━━!!

中華というだけで積極的に避ける事に確信が持てる

>1765298899561.jpg
遠隔爆破のコマンドが見つかっても驚かない

中国Sipeed社製リモートKVMのNanoKVMは文書に記載なくSSH経由で有効化できるマイクを搭載していた。DNSサーバとしては中国内のものを使用し、定期的にクローズドソースの更新とバイナリを取得。NanoKVM自体はOSSのため、有志で他Liunxへのポートが始まっている。

2月、スロベニアのセキュリティ研究者がSipeed社のNanoKVMの分析結果を発表し、30〜60ユーロ（35〜70ドル）のこのリモート管理デバイスに関する広範な懸念を提起しました。驚くべきことに、研究者による分解調査の結果、このデバイスには多数のセキュリティ上の欠陥と、SSH経由で有効化可能な未公開のマイクが搭載されていたことが判明しました。これらの問題の多くは、報告後数ヶ月の間に解決されています。

PiKVMの低価格な代替品として昨年市場に登場したコンパクトなRISC-Vボードは、HDMIキャプチャ、USB HIDエミュレーション、リモート電源制御、そして接続されたPCへのブラウザベースのアクセス機能を備えています。ターゲットマシンにソフトウェアを必要とせず、BIOSからOSのインストールまで操作できるため、IT環境での導入が始まっています。

>かなり前からいるぞ五毛君が
>ルータスレでTP-Link勧めてきたりでマジ空気読めないの
アメリカで使用禁止の流れになってるやつだっけ

研究者によると、デバイスのソフトウェアスタックは起動直後から弱点を露呈する。初期モデルはパスワードが事前設定され、SSHアクセスが開放された状態で出荷されたが、研究者はこの問題をSipeedに報告し、同社は後に修正した。Webインターフェースには、CSRF対策やアクティブセッションを無効にするメカニズムなど、基本的な保護機能が未だに欠如している。

さらに厄介なのは、ブラウザのログインパスワードを保護するために使用される暗号化キーがハードコードされており、すべてのデバイスで同一であることです。研究者によると、開発者がこの問題を認識するまでに「何度も」説明しなければならなかったとのことです。

NanoKVMのネットワーク動作は、DNSクエリをデフォルトで中国のサーバー経由でルーティングし、アップデートとクローズドソースのバイナリコンポーネントを取得するためにSipeedインフラストラクチャに定期的に接続していたため、さらなる疑問を提起しました。そのコンポーネントを検証するキーはデバイス上に平文で保存されており、ダウンロードされたファームウェアの整合性チェックは行われていませんでした。

基盤となる Linux ビルドも、一般的な管理ツールのない大幅に簡素化されたイメージでしたが、特権ネットワークに配置することを目的とした実稼働ハードウェアではなく、パケット検査やワイヤレス テストに通常関連付けられるユーティリティである tcpdump と aircrack が含まれていました。

これらすべてに加え、小さな表面実装マイクの発見は、どんなユーザーもデバイスの真の目的を疑うに違いありません。研究者によると、このマイクについては製品資料には記載されていませんが、オペレーティングシステムにはamixerやarecordといったALSAツールが含まれており、これらを使えばすぐにマイクを有効化できます。多くの導入済みデバイスにはデフォルトのSSH認証情報が依然として残っており、研究者は最小限の労力で音声を録音・抽出できること、そしてその音声をリアルタイムでストリーミングするにはわずかな追加スクリプトのみで済むことを実証しました。

幸いなことに、NanoKVMは名目上オープンソースであるため、コミュニティのメンバーが代替Linuxディストリビューションへの移植を開始しており、最初はDebian、後にUbuntuへと移行しました。再フラッシュにはケースを開けて内部のmicroSDカードに新しいイメージを書き込む必要がありますが、初期のビルドではすでにSipeedの修正されたKVMコードをサポートしています。マイクを物理的に取り外すことは可能ですが、コンポーネントのサイズと配置のため、拡大機能がないと面倒な作業になります。Sipeedはその後、このデバイスに関する多くのセキュリティ上の懸念に対処してきました。しかしながら、潜在的な問題を軽減するために、ユーザーはこれらのデバイスをカスタムLinuxディストリビューションにフラッシュする必要があるというのが一般的な見解であり、多くのレビュアーは現在、ホームラボ環境での使用にSipeed製品を推奨しています。

自宅のLAN内に信用できんもんは接続しないほうがいいなあ
KVM用の機器だとするとVLAN隔離したら使えんし

安い＋便利＋簡単＝危険

>安い＋便利＋簡単＝危険
しかしIoT機器の普及は止まらん模様
攻撃側のボーナスステージは続く

中華の監視カメラはバックドアあって映像が見られ放題なんだっけ

>中華の監視カメラはバックドアあって映像が見られ放題なんだっけ
全部がそうなわけないだろ

国会議員宿舎にも中国製のお掃除ロボットが徘徊してるんだよな

当然というかそりゃそうだろ感が

>制御用に使ってる汎用マイコンボードに標準でマイクが搭載されてるってだけの話
>確かにNanoKVMの仕様にマイクは記載されてないけどマイコンボードがLicheeRV Nanoってのは書いてあってLicheeRV Nanoの仕様にはマイクが搭載されてることは書いてある
そうそ「MIC」って明記されてんのよね

支那メーカー製はネットに近づけるなってこったな
勉強になった

>支那メーカー製はネットに近づけるなってこったな
>勉強になった
お前みたいに一日中シナシナ言ってる奴は録音されてるだろうからな

>国会議員宿舎にも中国製のお掃除ロボットが徘徊してるんだよな
俺達の強い小野田紀美さんがやってくれるぜ
武道やってるから「タァッ」て一刀両断よ

世の中善意で回ってると思うのは危険ですね

>>支那メーカー製はネットに近づけるなってこったな
>>勉強になった
>お前みたいに一日中シナシナ言ってる奴は録音されてるだろうからな
やってる事は否定せんのか
語るに落ちたな

>>中華の監視カメラはバックドアあって映像が見られ放題なんだっけ
>全部がそうなわけないだろ
一部でもあったら怖いわ！